La Agencia Española de Protección de Datos (AEPD) ha impuesto dos sanciones a CaixaBank que suman seis millones de euros por una infracción muy grave y una de leve de la ley de protección de datos, según la resolución de procedimiento sancionador.
En concreto, la Agencia estima que CaixaBank quebrantó el artículo 6 del Reglamento General de Protección de Datos (RGPD) por lo que le impone una sanción de 4 millones por una infracción muy grave, y los artículos 13 y 14 del RGPD, con una sanción leve de dos millones de euros.
El organismo justifica la elevada cuantía de las sanciones por el número de interesados, que son los 15,7 millones de clientes con los que cuenta CaixaBank.
En una resolución de 177 páginas en la que se recogen los recursos impuestos por la entidad, la AEPD estima que ha habido un "incumplimiento de la obligación de informar sobre la finalidad del tratamiento" al usar una terminología imprecisa para definir la política de privacidad de sus clientes por parte del banco.
Fuentes de CaixaBank han asegurado que la entidad recurrirá la sanción y han subrayado que su actuación es "adecuada y conforme a las exigencias de la legislación española".
Una denuncia de 2018
La primera denuncia contra CaixaBank fue realizada en enero de 2018 por un cliente de la entidad que aseguró que se le obligaba a aceptar la cesión de sus datos personales a todas las empresas del grupo en las condiciones en materia de protección de datos y que, además, debía dirigirse a cada sociedad en particular para cancelar la cesión, algo que consideraba "desproporcionado".
En el transcurso de la investigación, la AEPD pudo constatar que la entidad bancaria obtenía datos identificativos, de actividad laboral, sobre la situación financiera o fiscales y de contacto, entre muchas otros, según consta en la citada resolución.
Infracción grave
La Agencia, que desestima las alegaciones de CaixaBank, determina en su escrito que el banco ha incumplido "los requisitos establecidos para la prestación de un consentimiento válido", que exige que el cliente manifieste una voluntad específica, inequívoca e informada.
Además, apunta que la entidad bancaria obligó a sus clientes a una "cesión ilícita" de los datos personales a otras empresas del mismo grupo, lo que pone de manifiesto las deficiencias en el proceso de obtención del consentimiento de los usuarios.
En enero de este año, CaixaBank mejoró el proceso y permitió que el cliente siempre tenga el poder de las autorizaciones, recoge el escrito, aunque esto no resta responsabilidad a la empresa, según la AEPD.
Infracción leve
En marzo de 2019, la Agencia recibió una nueva denuncia, esta vez realizada por la asociación FACUA-Consumidores en Acción, en la que se advertía de que el Contrato Marco que firmaban los clientes con CaixaBank y en el que se recogían los datos personales "no puede negociarse" e imponía el consentimiento del tratamiento de estos datos y la cesión a terceras empresas con las que el usuario podría no tener relación.
La Agencia detectó que, a pesar de que los clientes seleccionaran no recibir comunicaciones comerciales de forma genérica, si se aceptaba la recepción de información por un medio, quedaba reflejado en el documento firmado.
En este sentido, según la AEPD, CaixaBank usaba una terminología imprecisa y no ofrecía la suficiente información a los clientes, por lo que ha habido un "incumplimiento de la obligación de informar sobre la finalidad del tratamiento".